季瑩瑩 虞成磊 王 波

（1.浙江省通信管理局 浙江 310012；2.杭州電子科技大學(xué) 浙江 310018；3.浙江省云和縣機(jī)要局 浙江 323600）

0 引言

改善安全系統(tǒng)結(jié)構(gòu)分配布局，改進(jìn)系統(tǒng)功能，提高檢測率，降低漏報(bào)率、誤報(bào)率，提升安全系統(tǒng)速度，完善安全系統(tǒng)性能，對(duì)提高政府網(wǎng)絡(luò)安全具有十分重要的意義。

1 相關(guān)研究

（1）網(wǎng)絡(luò)安全防護(hù)體系：網(wǎng)絡(luò)安全防護(hù)體系是由安全操作系統(tǒng)、應(yīng)用系統(tǒng)、防火墻、網(wǎng)絡(luò)監(jiān)控、安全掃描、通信加密、網(wǎng)絡(luò)反病毒等多個(gè)安全組件共同組成的，每個(gè)組件只能完成其中部分功能。

（2）原有政府網(wǎng)絡(luò)安全分析：VPN專網(wǎng)安全隱患；服務(wù)器未隔離。主干網(wǎng)絡(luò)交換機(jī)不統(tǒng)一。

2 政府網(wǎng)絡(luò)安全體系改造方案

2.1 防火墻

把防火墻部署在內(nèi)網(wǎng)核心交換機(jī)和互聯(lián)網(wǎng)之間，網(wǎng)絡(luò)結(jié)構(gòu)安全中重要網(wǎng)絡(luò)設(shè)備或安全設(shè)備的具備冗余能力相當(dāng)重要，所以考慮到網(wǎng)絡(luò)的高可用性，防火墻可以工作在雙A狀態(tài)，形成冗余雙鏈路結(jié)構(gòu)。

2.2 VPN

政府網(wǎng)絡(luò)對(duì)重要業(yè)務(wù)數(shù)據(jù)在互聯(lián)網(wǎng)傳輸?shù)陌踩珎鬏斕岢隽巳缦禄疽螅罕ＷC數(shù)據(jù)的真實(shí)性、完整性，保證通道的機(jī)密性，提供動(dòng)態(tài)密鑰交換功能和集中安全管理服務(wù)，提供安全防護(hù)措施和訪問控制等。

2.3 IDS系統(tǒng)

在政府網(wǎng)絡(luò)與信息系統(tǒng)邊界處部署入侵監(jiān)視設(shè)備來監(jiān)視來自外網(wǎng)的木馬、漏洞等攻擊。

該入侵檢測方案部署完成后，能夠監(jiān)視經(jīng)過本網(wǎng)段的任何活動(dòng)，進(jìn)行實(shí)時(shí)動(dòng)態(tài)的網(wǎng)絡(luò)監(jiān)視，根據(jù)數(shù)據(jù)包的特征，發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為，抵御來自外部和內(nèi)部的各種網(wǎng)絡(luò)入侵攻擊事件。

入侵檢測系統(tǒng)采用旁路的部署架構(gòu)，需要在核心交換機(jī)上做鏡像端口，通過交換機(jī)把經(jīng)過交換機(jī)的所有數(shù)據(jù)都轉(zhuǎn)發(fā)到入侵檢測系統(tǒng)，入侵檢測系統(tǒng)對(duì)接收到的數(shù)據(jù)進(jìn)行分析，當(dāng)發(fā)現(xiàn)攻擊系統(tǒng)會(huì)產(chǎn)生報(bào)警或和防火墻進(jìn)行聯(lián)動(dòng)來阻止攻擊的發(fā)生。

3 改造后的政府網(wǎng)絡(luò)

該改造方案對(duì)云和縣政府網(wǎng)絡(luò)與信息系統(tǒng)進(jìn)行了安全域的劃分，業(yè)務(wù)系統(tǒng)區(qū)作為整個(gè)云和縣政府網(wǎng)絡(luò)與信息系統(tǒng)的核心，也是此次網(wǎng)絡(luò)安全改造中重點(diǎn)保護(hù)的對(duì)象。目前大部分的安全風(fēng)險(xiǎn)都來自于內(nèi)網(wǎng)，終端PC可以任意訪問服務(wù)器，在內(nèi)網(wǎng)具有比較高的權(quán)限，用戶的誤操作、感染病毒、惡意攻擊等都會(huì)給服務(wù)器帶來很大的安全風(fēng)險(xiǎn)，所以對(duì)服務(wù)器區(qū)采用防火墻安全隔離，實(shí)現(xiàn)終端PC區(qū)域和業(yè)務(wù)區(qū)的安全隔離。

在云和縣網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間部署的防火墻實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)之間的訪問控制和安全隔離，再要采用相應(yīng)的入侵防護(hù)技術(shù)和行為管理技術(shù)對(duì)數(shù)據(jù)進(jìn)行深層次的攻擊分析和檢查，當(dāng)發(fā)現(xiàn)攻擊直接清除或者報(bào)警，這樣就大大增加了云和縣政府網(wǎng)絡(luò)系統(tǒng)的安全性。

4 網(wǎng)絡(luò)改造前后數(shù)據(jù)對(duì)比分析

由于網(wǎng)絡(luò)安全設(shè)備的特殊性，對(duì)數(shù)據(jù)進(jìn)行測試時(shí)，定義關(guān)鍵性數(shù)據(jù)比較困難，因此只能提取網(wǎng)絡(luò)的多次監(jiān)控結(jié)果來測試安全數(shù)據(jù)是否起到了其應(yīng)有的作用。本文以云和縣訪問市信息中心等七個(gè)較為有意義端點(diǎn)的網(wǎng)絡(luò)ping（長度=1518Byte 時(shí)間1小時(shí)）的平均延時(shí)和丟包率，作為進(jìn)行云和縣改造前后網(wǎng)絡(luò)情況對(duì)比參考數(shù)據(jù)并加以分析。

4.1 網(wǎng)絡(luò)改造前的數(shù)據(jù)

網(wǎng)絡(luò)改造前的平均延時(shí)及丟包率如表1及表2所示：

表1 網(wǎng)絡(luò)改造前的平均延時(shí)（ms）

表2 網(wǎng)絡(luò)改造前的丟包率（%）

4.2 網(wǎng)絡(luò)改造后的數(shù)據(jù)

網(wǎng)絡(luò)改造后的平均延時(shí)及丟包率如表3及表4所示：

表3 網(wǎng)絡(luò)改造后的平均延時(shí)（ms）

表4 網(wǎng)絡(luò)改造后的丟包率（%）

4.3 總結(jié)分析

從測試結(jié)果來看，可發(fā)現(xiàn)政府網(wǎng)受到職業(yè)黑客的攻擊概率較低，大多數(shù)是病毒引起的網(wǎng)絡(luò)擁堵，因此及時(shí)準(zhǔn)確發(fā)現(xiàn)擁堵原因和查找病毒的源頭成為網(wǎng)絡(luò)管理者首要關(guān)注的問題。

5 結(jié)束語

隨著政府網(wǎng)絡(luò)在政府工作中越來越廣泛的被應(yīng)用，政府網(wǎng)絡(luò)安全問題也日益突出。本文以麗水市云和縣政府網(wǎng)絡(luò)為例，在原有政府網(wǎng)絡(luò)的安全檢測系統(tǒng)結(jié)構(gòu)上，提出了具體的網(wǎng)絡(luò)安全改造方案，通過網(wǎng)絡(luò)安全改造前后的測試數(shù)據(jù)分析得出，網(wǎng)絡(luò)改造后政府網(wǎng)受到職業(yè)黑客的攻擊概率大大降低，因此對(duì)提高政府網(wǎng)絡(luò)安全具有十分重要的意義。

[1]馬豐，張應(yīng)利，楊玉鳳.電子政務(wù)安全中常用網(wǎng)絡(luò)技術(shù)[J].工業(yè)工程.2004，7（2）

[2]陳愛民.計(jì)算機(jī)的安全與保密[M].北京：電子工業(yè)出版社.2002.